Australie 
Canada 
Danemark 
France 
Allemagne 
Irlande 
Pays-Bas 
Nouvelle-Zélande 
Norvège 
Espagne et Portugal 
Royaume-Uni 
États-Unis 20 mars 2024
L'Asie compte plus de la moitié des internautes dans le monde. Les entreprises tirent parti de l'activité en ligne des Asiatiques pour conquérir de nouveaux clients et fidéliser les clients existants, créer de nouveaux produits et rendre leurs processus plus efficaces. Les avantages de cette opportunité s'accompagnent de risques uniques qui ne sont pas couverts par les polices d'assurance traditionnelles contre les pertes d'exploitation (BI). Cependant, ils peuvent être gérés grâce à une couverture BI offerte par des polices cyber indépendantes.
Alors que nous passons du monde physique au monde numérique, les réclamations liées à la cyber-BI posent des défis uniques, certains familiers, d'autres différents, et d'autres encore radicalement différents des réclamations liées à la BI traditionnelle.
Le familier
Comme pour toutes les demandes d'indemnisation, un lien de causalité entre l'incident et le sinistre doit être établi. Dans le domaine de l'assurance perte d'exploitation traditionnelle, cela s'appelle la clause de dommages matériels. Les polices d'assurance cyber perte d'exploitation sont similaires, mais au lieu de dommages, la couverture peut être déclenchée par une compromission réelle ou présumée des systèmes informatiques de l'assuré. Pour être couvertes, les pertes doivent résulter d'un incident assuré.
Les types de couverture offerts par les polices d'assurance traditionnelle et cyber BI sont également assez similaires. La couverture peut être fournie sur la base du chiffre d'affaires brut ou du bénéfice brut et sur la base de l'augmentation des coûts de fonctionnement. L'objectif est donc de replacer l'assuré dans la situationqui aurait été la sienne sansl'incident cyber. Ces incidents peuvent être malveillants (par exemple, une violation de données ou un logiciel malveillant) ou autres (peut-être dus à des actes accidentels ou à des omissions). Comme toujours, le défi consiste à isoler la perte uniquement de celle causée par l'incident.
Le quelque peu différent
Certaines différences subtiles sont perceptibles lorsqu'on examine les pertes couvertes par une police cyber. La période d'indemnisation d'une police BI traditionnelle commence généralement lorsqu'une perte physique survient. Cependant, dans le cas des polices cyber-BI, le début dépend fortement du libellé de la police ; il peut s'agir du moment où la compromission du système a été évaluée ou du moment où un incident de sécurité a été signalé. Cela est soumis à l'expiration d'une période d'attente définie (c'est-à-dire une franchise), généralement d'environ 12 heures. Bien que cela semble court, cela peut s'avérer être une éternité coûteuse pour un détaillant en ligne lors d'une vente importante comme celle de la fête des célibataires.
Les polices d'assurance cyber-BI prévoient généralement des périodes d'indemnisation maximales d'environ trois mois, ce qui est nettement plus court que les 12 mois que l'on observe couramment dans les polices d'assurance BI traditionnelles. Cela reflète la nature plus brève de nombreux incidents cybernétiques, qui peuvent être résolus plus rapidement, par exemple grâce à la restauration d'une sauvegarde. Cependant, il peut être difficile d'identifier et de corriger le point de défaillance dans un système informatique complexe, même avec l'aide d'une équipe dédiée à la réponse aux incidents.
Les très différents
Étant donné que les actifs sous-jacents sont de nature intangible, certaines différences importantes apparaissent. En voici deux qui méritent d'être prises en considération :
- Attaques par ransomware
Bien qu'elles ne soient pas nouvelles, les attaques par ransomware sont devenues de plus en plus fréquentes et complexes, augmentant ainsi le risque de perturbation pour les entreprises. Les données peuvent être volées ou leur accès bloqué (ou une combinaison des deux), l'extorqueur menaçant de divulguer, détruire ou bloquer l'accès à des données confidentielles à moins qu'un paiement ne soit effectué. La rançon moyenne en 2023 s'élevait à 1,54 million de dollars américains, soit près du double du montant de 2022.
Dans certains cas, payer la rançon peut sembler être l'option la moins coûteuse et la plus efficace. Certaines polices d'assurance indemnisent même l'assuré pour ce type de paiement. La décision finale quant à l'opportunité d'effectuer un paiement appartient à l'entreprise, mais doit-elle payer ?
Bien qu'il puisse être tentant de céder aux demandes dans l'espoir que les données soient rapidement restaurées, les faits ne corroborent pas cette hypothèse. Environ un quart des victimes qui paient ne récupèrent jamais leurs données, et même si certaines données sont récupérées, la plupart des organisations mettent plus d'une semaine à se remettre d'une attaque par ransomware. Il n'y a également aucune garantie que l'attaque prendra fin ou sera résolue, un point souligné par l'initiative Counter Ransomware Initiative, qui regroupe 48 pays et décourage fortement de tels paiements. Les paiements pourraient également servir de source de financement pour des activités criminelles et inciter davantage à commettre de nouvelles attaques à l'avenir.
Les entreprises doivent décider s'il est dans leur intérêt de refuser de payer la rançon. Si les assureurs soutiennent la décision de ne pas payer, la couverture s'étendra généralement aux frais de rétablissement et à toute perte de revenus résultant directement de l'attaque.
Les attaques par ransomware pouvant être coûteuses financièrement et entraîner des temps d'arrêt importants, il serait judicieux de se préparer de manière proactive à un tel incident. Ces mesures peuvent inclure :
- S'assurer que les sauvegardes et les redondances sont en place et à jour
- Réalisation d'audits informatiques réguliers
- Imposer des mots de passe forts et une authentification multifactorielle
- Organiser régulièrement des formations et des cours sur les technologies de l'information
- Élaborer des plans d'intervention en cas d'incident pouvant être mis en œuvre rapidement si nécessaire.
De tels plans ne sont efficaces que s'ils impliquent les efforts de l'ensemble de l'organisation.
- Atteinte à la réputation
À la suite d'une cyberattaque, l'image publique de l'entreprise ciblée peut être affectée, en particulier lorsque des données sensibles relatives aux clients sont compromises. Les clients peuvent remettre en question la capacité de l'entreprise à protéger leurs informations personnelles, ce qui entraîne une perte de confiance et de fidélité. Les interruptions de service peuvent également inciter les utilisateurs à se tourner vers un concurrent qui met en avant sa fiabilité.
De nombreuses polices d'assurance cyber BI couvrent les atteintes à la réputation, remboursant aux assurés les pertes financières directement liées à l'incident. Une couverture des frais de réparation de la réputation peut également être disponible pour engager des consultants en relations publiques afin d'atténuer les effets d'une publicité négative. La difficulté réside dans la mesure et l'attribution de la perte de clients actuels et potentiels à l'incident. En outre, comme de nombreuses polices cyber ont des périodes d'indemnisation maximales courtes, les atteintes à la réputation qui se prolongent au-delà de cette période ne seraient pas couvertes par la police.
Le jury n'a pas encore tranché la question de savoir si les cyberincidents sont devenus si courants qu'ils nuisent réellement à la réputation des entreprises. Les gens ont tendance à considérer que les entreprises qui jouissent d'un haut niveau de confiance sont plus susceptibles de subir une perte de réputation. Une banque en ligne, par exemple, serait plus exposée à une perte de réputation qu'un détaillant en ligne.
Comme pour les ransomwares, une approche proactive de la gestion des atteintes à la réputation peut s'avérer plus efficace et efficiente qu'une attitude réactive. Outre les mesures énumérées ci-dessus, la pierre angulaire doit être une communication claire et efficace avec les parties prenantes, élément essentiel pour rétablir la confiance et défendre la réputation.
Conclusion
Les sinistres liés à la cyber-BI présentent certaines caractéristiques communes avec leurs équivalents traditionnels, mais le domaine numérique soulève des questions particulières. Lorsqu'une entreprise est confrontée à un sinistre lié à la cyber-BI, il est essentiel de faire appel à un partenaire de confiance possédant une expertise dans les subtilités des sinistres liés à la cyber-BI afin de l'aider à en atténuer les répercussions à grande échelle.
> En savoir plus — découvrez les services de comptabilité judiciaire et capacités en matière d'interruption d'activité en Asie ou email [email protected] pour plus d'informations.
